AWS Certified Cloud Practitioner 자격증 준비 -Sesstion 3 IAM

안녕하세요 우당탕탕 개발일지 입니다. 인프라 직군으로 가고 싶어서 자격증 준비중입니다. 기간은 6주! 화이팅

인프런 코드 바나나님의 강의를 들으면서 정리한 내용입니다. 실습 내용은 포함되지 않았으니 구매해서 보시는거 추천 드립니다!

 

정처기 필기 준비 하느라 잠깐 미뤘더니 불과 2주 남았습니다.  빡공해보겠습니다.!

 

 

 

핵심 문제 정리 

1. AWS IAM의 주요 기능은? 사용자의 AWS 서비스 및 리소스 접근 권한 관리

2.IAM 정책의 주된 목적은? AWS 리소스에 대한 접근 권한 정의

3. AWS 서비스(예: EC2)가 다른 서비스(예: S3)에 접근해야 할 때 일반적으로 사용되는 IAM 엔티티는 무엇인가요? IAM 정책

4.외부 계정이나 조직에게 공유된 AWS 리소스를 식별하는 데 도움이 되는 AWS IAM 도구? IAM Access Analyzer

5.  IAM 사용자 로그인 보안을 강화하기 위해 권장되는 추가 보안 조치는? 다중 요소 인증(MFA) 활성화

 

---

IAM

• aws 계정 및 권한 관리 서비스 
• aws 서비스와 리소스에 대한 액세스 관리 
• 사용자, 그룹, 역할, 정책으로 구성 
• 리전에 속하는 서비스가 아닌 글로벌 서비스 ( 지역의 제약 X) 

[ 계정 보안 강화를 위한 권장 사항]
루트 계정	사용자 계정 (IAM 계정)
가능하면 사용하지 말것	서비스 사용 + 사용자는 필요한 최소한의 권한만 부여 (최소 권한의 원칙)
IAM 사용자 권한 , 비용 콘솔에 대한 IAM 활성화, 세금 계산서 조회, AWS 계정 닫음, 지원 플랜 변경 , 마켓 플레이스 등록, MFA, VPC ID,  Amazon S3  버킷 구성, 편집 삭제, GOVCloud 등록	계정 설정 변경(이름. 이메일, 루트 암호, 루트 액세스 키) , 연락터 정보 ,결제  통화 기본 설정만 가능!!!!
강력한 암호 정책과 멀티팩터 인증(MFA) 적용
사용자의 암호에 대한 복잡성 요구사항과 의무 교체 주기를 정의

 

 

---

인프런 - 코드 바나나

 

IAM- user (사용자)

 : 단일 개인 or 애플리케이션에 대한 특정 권한을 가진 aws 계정 내 자격 증명 (=한명의 실제 사용자)

: 암호 또는 액세스 키와 같은 장기 자격 증명을 통해 액세스 

: 프로그래밍 방식으로 액세스 

 

 

IAM- policy (정책) 

: aws 리소스에 대한 액세스 권한 정의 

: json 문서 형식 

: 사용자, 그룹, 역할에 정책을 연결하여 사용. 

→기본 effect 값 : 거부 

정책
관리형 정책	인라인 정책
다수의 사용자, 그룹 및 역할에 연결	단일  사용자, 그룹 또는 역할에 직접 추가
AWS 관리형 정책 | 고객 관리형 정책 (이건 사용자가)	-

 

 

IAM- Role (역할) 

: 특정 권한을 가지고 있는 aws 계정 내 자격 증명 (= IAM -사용자와 동일)

: 사용자 또는 역할에 최대 권한을 제한하는 기능.

→ 권한이 2개인 경우 두 권한이 겹치는 부분에서 권한 범위가 축소될 수도 있음. 

 

IAM- 사용자와 IAM- 역할 차이점 !! )

1. 한 사람과 연관되지 않고 해당 역할이 필요한 IAM 사용자, 애플리케이션, AWS 서비스 등 누구든지 맡을 수 있음

2. 역할은 암호,액세스 키와 같은 장기 자격 증명은 없고 임시 보안 자격 증명(=AWS STS 이용)만 존재함. 

 

역할 주체 :

• AWS 서비스(ex EC2) 
• 역할과 동일하거나 다른 aws 계정의 IAM 사용자
• 제 3자 웹 자격 증명 공급자의 사용자 
• SAML 2.0 

 

---

IAM 자격증명 보고서 (credentials report)

: 계정의 모든 사용자와 암호, 액세스 키, MFA 디바이스 등 이들의 자격 증명 상태를 나열하는 자격 증명 보고서를 생성하고 다운로드 

• 사용자의 표시 이름 
• 사용자가 생성된 날짜 및 시간 
• 사용자에게 액세스 키가 있고 액세스 키의 상태가 활성인지 여부 
• 사용자에 대해 MFA 디바이스를 사용하도록 설정되었는지 여부 

---

IAM Access Analyzer

: 인터넷상의 모든 사용자 또는 조직 외부의 AWS 계정을 포함한

다른 AWS 계정에 대한 액세스를 허용하도록 구성된 AWS 리소스를 식별하는 기능. 

 

- 외부와 공유되는 조직 및 계정 내 리소스 식별 ( 리소스 예시 : Amazin S3버킷 or IAM 역할 )

-AWS 조직 및 계정 내 미사용 액세스를 식별하고 검토